Назад | Перейти на главную страницу

AWS VPN - отказоустойчивый межрегиональный блок и блокировка CIDR VPC

У меня сложный вопрос:

Я подключил несколько VPC с экземплярами EC2 (IPSec) для маршрутизации трафика между VPC по регионам, у меня есть VPN-соединение с каждым регионом aws, и все работает нормально.

Traffic from my office to 10.20.*.* go to ->
VPN connection LINE 1 in AWS eu-west-1 ->
vpc_ireland - CIDR 10.20.0.0/16
here I have ipsec instance that route the traffic from 10.60.0.0/16 to vpc_viriginia

Traffic from my office to 10.60.*.* go to ->
VPN connection LINE 2 in AWS us-east-1 ->
vpc_viriginia - CIDR 10.60.0.0/16
in AWS us-east-1 I have ipsec instance that route the traffic from 10.20.0.0/16 to vpc_ireland

Я хочу убедиться, что если одно из соединений / линий vpn выйдет из строя, я все равно смогу получить доступ к региону aws через другой VPN в другом регионе aws.

Например, если VPN connection LINE 2 (virginia) падает, автоматически весь трафик из моего офиса в 10.60.*.* будет идти к VPN connection LINE 1 (vpc_ireland) и оттуда он направится к vpc_viriginia с моим экземпляром IPSec вроде ничего не случилось.

пример: если VPN connection LINE 2 идет вниз: myoffice -> 10.60.203.11 -> VPN connection LINE 1 -> vpc_ireland -> ipsec instance in ireland -> vpc_viriginia

Как я уже сказал, у меня есть связь между моими регионами с помощью экземпляров IPSec.

Мой вопрос: если VPN-соединение LINE 2 выйдет из строя, весь трафик будет 10.60.*.* автоматически перенаправится из моего офиса в vpc_ireland - CIDR 10.20.0.0/16, но я думаю vpc_ireland отклонит их, потому что IP-адреса 10.60.*.* не находятся в одной сети vpc_ireland - CIDR 10.20.0.0/16.

Итак, мне интересно, какие у меня есть варианты (без удаления моего текущего AWS VPN)?

Чтобы быть более конкретным, как я могу маршрутизировать трафик с IP-адресов (скажем, например, 10.60.111.9) через VPN-соединение Ирландии (когда VPN-соединение Вирджинии обрывается), чтобы vpc_ireland, но IP-адреса, которые я маршрутизирую, не находятся в одной сети CIDR 10.20.0.0/16 ?

Вопрос касается только стороны AWS, после того, как я перенаправляю трафик из своего офиса.

С радостью отвечу на любые вопросы, если мой вопрос будет непонятным.

Заранее спасибо!!

ОБНОВЛЕНИЕ - я постараюсь уточнить свой вопрос:

  1. AWS VPN в Вирджинии не работает.
  2. Весь трафик из моего офиса 10.60.*.* маршрут к VPN-соединению AWS LINE 1 в AWS eu-west-1.
  3. Итак, если я сейчас пингую из своего офиса в 10.60.100.13 это будет маршрут к VPN в Ирландии. 4. но VPC в Ирландии с CIDR block 10.20.0.0/16.

Если я смогу каким-то образом маршрутизировать трафик, который идет в Ирландию VPN с IP-адресов в CIDR block 10.60.*.* в мой текущий VPC в Ирландии с CIDR block 10.20.0.0/16, Я мог бы использовать свою таблицу маршрутизации и свой экземпляр IPSEC, чтобы направить его обратно в VPC Вирджинии.

Возможно ли вообще перенаправить трафик из другой подсети в другой блок CIDR в VPC? IP 10.60.100.13 к CIDR block 10.20.0.0/16?

Вы можете попробовать сделать что-то подобное

eu-west-1 - VPC1 - VPNGatewway1  -- office  (direct route)
eu-west-1 - VPC1 - VPNGatewway1  -- office  (via VPC2 route)
             | 
            peer
             |
eu-west-1 - VPC2 - VPNGatewway2  -- office  (direct route)
eu-west-1 - VPC2 - VPNGatewway2  -- office  (via VPC1 route)

Но прежде чем вы что-то сделаете, к вашему сведению, у шлюза vpn есть две точки входа, поэтому избыточность уже построена.

Вам нужно учитывать одну вещь: таблицы маршрутов, даже если они содержат записи как для офиса, так и для Другой VPC будет отправлять трафик на дефолт маршрут для вашего офиса (vpn шлюзы). Для этого вам нужно создать небольшой скрипт, который изменяет приоритет маршрута, поэтому, если VPNGateway1 не может подключиться к вашему офису, вы даете ему более низкий приоритет и маршрутизируете office_space / netmask через VPC2.